דו״ח סייבר שבועי
עדכון שבועי 10.02.2022
עיקרי הדברים
-
תוקפים מטעם סין תקפו את ה-Wall Street Journal לצרכי ריגול.
-
חברת Avast חושפת: נתקפו מערכות המשחקים האולימפיים הלאומיים של סין.
-
שוויץ: מתקפת כופרה על חברת שירותי התעופה Swissport מביאה לעיכובים בטיסות. בלגיה: התקפה רחבה על תשתיות נפט משבשות את תעבורת הדלק בין שני הנמלים הגדולים באירופה.
-
הבנק האירופי המרכזי ורגולטורים נוספים: התראה מפני מתקפות סייבר רוסיות במסגרת הסכסוך בין רוסיה לאוקראינה.
-
אנו ממליצים לעדכן את המוצרים הבאים: ראוטרים של Cisco (קריטי); מוצרי Adobe (קריטי); מוצרי SAP (קריטי); Essential Addons for Elementor ב-WordPress (קריטי); הפלאגין PHP Everywhere ב WordPress (קריטי); מוצרי ESET ל-Windows (גבוה); מוצרי מיקרוסופט (גבוה); דפדפן Firefox של Mozilla (גבוה).
תוכן עניינים
הציטוט השבועי
איפה אפשר לקרוא את הדוחות
חולשות חדשות
עדכוני אבטחה ל-Argo CD נותנים מענה לחולשת Zero-day העלולה לאפשר גישה לא מורשית למידע רגיש בפלטפורמה
עדכון אבטחה נותן מענה לחולשה קריטית בתוסף WordPress עם יותר ממיליון התקנות
עדכון אבטחה למוצרי ESET למערכות Windows
עדכון האבטחה החודשי של מיקרוסופט נותן מענה לחולשות ברמת חומרה גבוהה, בהן חולשת Zero-day
עדכון אבטחה קריטי לראוטרים של Cisco
עדכוני אבטחה קריטיים למוצרים של Adobe
עדכון אבטחה ל-Mozilla נותן מענה לחולשות ברמות חומרה שונות
עדכון אבטחה למוצרי SAP נותן מענה למספר חולשות קריטיות
חולשה קריטית בפלאגין PHP Everywhere מסכנת עשרות אלפי אתרי WordPress
מיקרוסופט חוסמת את האפשרות להריץ קוד מאקרו כברירת מחדל בכל יישומי Office
התקפות ואיומים
חוקרי הגנת סייבר מתריעים: גל של ניסיונות פישינג וגניבת מידע מצד הקבוצה הפרו-פלסטינית Arid Viper
חשד: תוקפים מטעם סין תקפו את ה-Wall Street Journal לצרכי ריגול
אחרי NSO: גם QuaDream הישראלית מנצלת חולשת Zero-day ב-iOS לשם פריצה לסמארטפונים
חברת Avast חושפת: נתקפו מערכות המשחקים האולימפיים הלאומיים של סין
הנוזקה הטרויאנית Medusa מרחיבה את התפשטותה דרך רשת ההתקפות של Flubot
קמפיין להפצת סוס טרויאני משודרג לסמארטפונים תופס תאוצה בגרמניה, בצרפת, בטייוואן ובקוריאה
ה-CISA מחייבת סוכנויות פדרליות להתמגן מפני חולשה ברמת חומרה גבוהה ב-Windows
Mandiant ו-SentinelOne חוברות יחדיו למתן מענה לאירועי סייבר
השבוע בכופרה
LockBit פורצת לרשתות משרד התעשייה והטכנולוגיה הטורקי; ה-FBI מפרסם מסמך המוקדש לנוזקה
Botnet להשכרה: קבוצת התקיפה ALPHV מציגה את הדור הבא של ה-RaaS
שוויץ: מתקפת כופרה על חברת שירותי התעופה Swissport מביאה לעיכובים בטיסות
בלגיה: התקפה רחבה על תשתיות נפט משבשות את תעבורת הדלק בין שני הנמלים הגדולים באירופה
שרשרת אספקה: חברת Puma חווה דלף מידע רגיש של אלפי עובדים כתוצאה מהמתקפה על חברת Kronos
סייבר בישראל
איגוד האינטרנט הישראלי: 57% מהישראלים חוששים משימוש במידע שלהם על ידי הרשויות ללא הסכמתם
סייבר בעולם
ה-MITRE וה-NSA משיקות את מתווה שיטות ההגנה D3FEND לצמצום מרחב הפעולה של תוקפים
ה-NSA מסכמת את פעילותה ב-2021 בתחום אבטחת המידע
חולשה שהתגלתה במנגנון מעקב החבילות של DPD אפשרה השגת מידע מלא על משלוחים
פתרון הנדסי יצירתי: ה-Hypervisor של Google Cloud הותאם לזיהוי כורי מטבעות קריפטוגרפיים ללא סיוע סוכנים המותקנים על עמדות
המתיחות במזרח אירופה: ארה״ב והבנק המרכזי האירופי קוראים לבנקים להיערך לאפשרות של תקיפת סייבר רוסית
קנדה: שבע שנות מאסר נגזרו על שותף של קבוצת הכופרה NetWalker
קוריאה הצפונית ממשיכה לתקוף נכסי קריפטו כאמצעי למימון פיתוח יכולותיה הגרעיניות
סייבר ופרטיות - רגולציה ותקינה
הבית הלבן מקים לראשונה מועצה לאומית לפיקוח על אירועי סייבר
האיחוד האירופי מוביל יוזמה לסטנדרטיזציה דיגיטלית
בהמשך לתקיפת הסייבר של Bitfinex מ-2016: ארה"ב עוצרת שני חשודים ותופסת 3.6 מיליארד דולר במטבעות קריפטוגרפיים
כנסים
הציטוט השבועי
״הבחור הזה עשה לי את היום: שאלנו אם הוא חושש מפריצה לטלפון שלו. הוא אמר שלא. שאלנו אם הוא מגן על הטלפון שלו בדרך כלשהי. זו הייתה תשובתו: "כאילו, יש לי מגן מסך.״
איפה אפשר לקרוא את הדוחות
ערוץ הטלגרם
https://t.me/corona_cyber_news
חולשות חדשות
עדכוני אבטחה ל-Argo CD נותנים מענה לחולשת Zero-day העלולה לאפשר גישה לא מורשית למידע רגיש בפלטפורמה
השבוע פרסמה חברת אבטחת המידע Apiiro מחקר טכני מעמיק אודות החולשה (CVE-2022-24348, CVSS 7.7), שבעת גילויה ולפני סגירתה נחשב לחולשת Zero-day, ואשר ניצולה עלול לאפשר לתוקף לגשת למאות אפליקציות ולמידע הכולל, בין היתר, סיסמאות ו-API Keys. החולשה ניתנת לניצול במידה שלתוקף יש גישה לשינוי או יצירת קובץ YAML המגדיר את ה-Kubernetes Helm Chart.
צוות קונפידס ממליץ למשתמשי המוצר לעדכנו לגרסאות v2.3.0 ,v2.2.4 ו-v2.1.9, בהן תוקנה החולשה.
עדכון אבטחה נותן מענה לחולשה קריטית בתוסף WordPress עם יותר ממיליון התקנות
העדכון לתוסף Essential Addons for Elementor סוגר חולשה העלולה לאפשר ביצוע מתקפת Local File Inclusion. החולשה נעוצה באופן בו נעשה שימוש בקוד ה-PHP ביחד עם קלט מהמשתמש, שאינו עובר סינון ויכול לאפשר קבלת קלט מהונדס שיתיר לתוקף לגשת לכל הקבצים במערכת. החוקר שאיתר את החולשה, וואי יאן מיו, דיווח עליה למפתחי המוצר, ואלה פרסמו עדכון לתוסף.
צוות קונפידס ממליץ למשתמשי התוסף לעדכנו בהקדם לגרסה 5.0.5.
עדכון אבטחה למוצרי ESET למערכות Windows
השבוע פרסמה חברת אבטחת המידע ESET כי במסגרת פרויקט ה-Zero Day Initiative זיהתה בנובמבר האחרון חולשה (CVE-2021-37852, CVSS 7.0) מסוג Privilege Escalation בעשרות ממוצריה. החולשה עלולה לאפשר לתוקף בעל גישה לוקאלית למחשב הנתקף לבצע מניפולציה על תוכנת האנטי-וירוס המותקנת בו על מנת להשתמש בהרשאות המערכת שלה להרצת קוד בהרשאות הגבוהות ביותר.
צוות קונפידנס ממליץ למשתמשי המוצרים לעקוב אחר עדכוניה של ESET, בכדי להתמגן מפני החולשה.
עדכון האבטחה החודשי של מיקרוסופט נותן מענה לחולשות ברמת חומרה גבוהה, בהן חולשת Zero-day
העדכון, הסוגר 51 חולשות, רובן ברמת חומרה גבוהה, רלוונטי עבור מגוון רחב של מוצרי החברה, לרבות:
-
Microsoft Office
-
Outlook
-
SharePoint
-
Windows Kernel
-
Teams
-
Win32K
החולשות עלולות לאפשר לתוקף להריץ קוד מרחוק, לעקוף מערכות הגנה ולקבל הרשאות גבוהות.
צוות קונפידס ממליץ למשתמשי המוצרים לעדכנם בהקדם לגרסאותיהם האחרונות.
עדכון אבטחה קריטי לראוטרים של Cisco
העדכונים, שפורסמו ב-4 בפברואר, רלוונטיים לסדרת הראוטרים Small Business RV ונותנים מענה ל-15 חולשות (CVE-2022-20699 עד CVE-2022-20712 ו-CVE-2022-20749), בהן 5 קריטיות, שרמת חומרתן CVSS 10.0. החולשות הקריטיות עלולות לאפשר לתוקף להריץ קוד מרחוק, להעלות הרשאות, לעקוף את מנגנוני ההזדהות מול הראוטרים ולהביא למניעת שירות.
צוות קונפידס ממליץ למשתמשים בראוטרים של Cisco לוודא שהמכשירים שברשותם אינם נמנים על אלה המושפעים מהחולשות, ובמידה וכן - לעדכן את תוכנת הראוטרים לגרסתה האחרונה.
עדכוני אבטחה קריטיים למוצרים של Adobe
העדכונים שפורסמו רלוונטיים למוצרים:
-
Premiere Rush
-
Illustrator
-
Photoshop
-
After Effects
-
Creative Cloud Desktop
5 מבין החולשות הרבות המקבלות מענה בעדכונים הן קריטיות (CVE-2022-23186, CVE-2022-23188, CVE-2022-23203, CVE-2022-23200, CVE-2022-23202) ועלולות לאפשר העלאת הרשאות והרצת קוד מרחוק.
צוות קונפידס ממליץ לבעלי המוצרים לעדכם לגרסאותיהם האחרונות.
עדכון אבטחה ל-Mozilla נותן מענה לחולשות ברמות חומרה שונות
אחת מ-12 החולשות הנסגרות בעדכון הינה חולשה ברמת חומרה גבוהה (CVE-2022-22753) העלולה לאפשר לתוקף להשתמש ב-Maintenance Service כדי להעלות הרשאות במערכת ולהריץ פקודות בהרשאות SYSTEM.
אנו ממליצים למשתמשי הדפדפן לעיין ברשימת החולשות המלאה ולעדכן את המוצר בהקדם לגרסתו האחרונה.
עדכון אבטחה למוצרי SAP נותן מענה למספר חולשות קריטיות
בין החולשות שנסגרות בעדכון, שפורסם ב-9 בפברואר, ארבע (CVE-2022-22536 ,CVE-2021-44228 ,CVE-2021-45105 ,CVE-2021-44228) הן קריטיות וקיבלו את ציון החומרה CVSS 10. החולשות, שמקורן בפגיעות ה-Log4j שאותרה בכמה מוצרי SAP, בהם גם Commerce ו-Web Dispatcher, עלולות לאפשר לתוקף להריץ קוד זדוני מרחוק.
צוות קונפידס ממליץ למשתמשי המוצרים לעדכנם בהקדם לגרסאותיהם האחרונות.
חולשה קריטית בפלאגין PHP Everywhere מסכנת עשרות אלפי אתרי WordPress
החולשה (CVE-2022-24663, CVSS 9.9), שקיומה פורסם השבוע על ידי חברת אבטחת המידע Wordfence, המתמקדת בפלטפורמת WordPress, חושפת יותר מ-30 אלף אתרים ברחבי העולם להרצת קוד מרחוק דרך הפלאגין הנפוץ, ללא צורך באישור המשתמש או בהרשאות לשרת.
צוות קונפידנס ממליץ למשתמשי PHP Everywhere לעדכנו בהקדם לגרסה 3.0.0.
מיקרוסופט חוסמת את האפשרות להריץ קוד מאקרו כברירת מחדל בכל יישומי Office
בהמשך להודעה הקודמת של מיקרוסופט על נטרול הרצת קוד מאקרו כברירת מחדל בגרסה החדשה של תוכנת ה-Excel (ראו ״הסייבר״, 27.1.22), החברה הודיעה כי החל מגרסה 2203 של Office, שתשוחרר בתחילת אפריל, היא תקשה על הפעלת פקודות מאקרו VBA שהורדו מהאינטרנט במספר אפליקציות נוספות הכלולות בחבילת התוכנות, ובכך תחסל שיטת הפצה פופולרית של תוכנות זדוניות ברשתות ביתיות וארגוניות, בהן גם סוסים טרויאניים הגונבים מידע וכלים זדוניים המשמשים קבוצות כופרה. השינוי יחול על תוכנות Office הרלוונטיות במכשירים מבוססי Windows, ועל היישומים הבאים בלבד: Access, Excel, PowerPoint, Visio ו-Word. עם כניסת השינוי לתוקף והחלת החסימה האוטומטית, משתמשי Office לא יוכלו עוד להפעיל פקודות מאקרו בלחיצת כפתור.
התקפות ואיומים
חוקרי הגנת סייבר מתריעים: גל של ניסיונות פישינג וגניבת מידע מצד הקבוצה הפרו-פלסטינית Arid Viper
לדברי Cisco Talos, גל התקיפות, שככל הנראה החל באוקטובר האחרון ומתאפיין בניסיונות דיוג ובשליחת מסמכים בעלי תוכן פוליטי, מהווה חלק מפעילות קבוצת התקיפה, שמטרתה ריגול וגניבת מידע. הקבוצה, המכונה גם Desert Falcon, תועדה כבר בשנת 2015 על ידי חברת אבטחת המידע Kaspersky, אשר מיתגה אותה כ״קבוצת ה-APT הערבית הבלעדית הראשונה״. לדברי Cisco Talos, ״Arid Viper היא דוגמה מצוינת לקבוצה שאינה מתקדמת במיוחד מבחינה טכנולוגית, אך עם זאת, באמצעות מוטיבציות ספציפיות, הופכת מסוכנת יותר ככל שהיא מתפתחת בחלוף הזמן״.
חשד: תוקפים מטעם סין תקפו את ה-Wall Street Journal לצרכי ריגול
החברה, השייכת לאימפריית החדשות News Corporation, אשר בבעלות טייקון המדיה רופרט מרדוק, היוותה יעד למתקפת סייבר שבמהלכה נפרצו חשבונות המייל של עיתונאים ושל עובדים אחרים בה. האירוע, שלדברי ה-New York Times נועד למטרות ריגול, נחשף ב-4 בפברואר וטרם התברר מתי החל. דיוויד קליין, סמנכ״ל הטכנולוגיה של החברה, כתב במייל ששלח לעובדיו כי ״החברה הודיעה [על האירוע] לרשויות אכיפת החוק בארצות הברית ופתחה בחקירתו בשיתוף עם חברת הגנת הסייבר Mandiant״. על פי ממצאי החקירה הראשונית, Mandiant מעריכה שלעומדים מאחורי המתקפה יש קשר לסין ולפעילויות ריגול למען האינטרסים שלה. עוד מסר קליין כי האירוע השפיע על מספר מצומצם של חשבונות מייל ומסמכים הקשורים ל-News Corp, ל-Dow Jones ולגופים נוספים. ככל הנראה, התוקפים התעניינו במסמכים הנוגעים למגוון נושאים, חלקם בעלי חשיבות לבייג׳ינג, לרבות טיוטות מאמרים והערות על פעילות חיילי צבא ארצות הברית ורגולציה טכנולוגית בארצות הברית שיש לה נגיעה לסין, וכן מאמרים על הנשיא ג׳ו ביידן, על סגנית הנשיא קאמלה האריס ועל בכירים בבית הלבן. הדבר תורם לחשדות לפיהן מדובר בתוקף המקושר לממשלת סין ובניסיון לאגור מודיעין העשוי לסייע לה. מדובר שגרירות סין בוושינגטון, ליו פנגיו, נמסר כי ״סין מסורה לנושא הגנת הסייבר, והיא מתנגדת ונלחמת בתקיפות במתקפות סייבר על כל צורותיהן״. עוד הוסיף פנגיו כי ״זיהוי מקורן של מתקפות סייבר הינו מורכב מבחינה טכנית ואנו מקווים לגישה מקצועית, אחראית ומבוססת-ראיות לזיהוי תקריות הקשורות למתקפות סייבר, במקום האשמות המתבססות על ספקולציות״.
אחרי NSO: גם QuaDream הישראלית מנצלת חולשת Zero-day ב-iOS לשם פריצה לסמארטפונים
בחולשה (CVE-2021-30860), שכבר נוצלה בעבר על ידי חברת הריגול הישראלית NSO, נעשה במקביל שימוש על ידי המתחרה בעלת הפרופיל הנמוך יותר לפיתוח כלי פריצה לטלפונים חכמים. באמצעות ניצול החולשה הצליחו שתי החברות להשיג שליטה מרחוק על מכשירי אייפון ללא צורך בפתיחת קישור זדוני או כל אינטראקציה אחרת עם בעל המכשיר, אך מכיוון ש-Apple הוציאה עדכון הנותן מענה לחולשה כבר בספטמבר 2021 - תוכנות הריגול של שתיהן אינן שמישות עוד.
חברת Avast חושפת: נתקפו מערכות המשחקים האולימפיים הלאומיים של סין
בשבועות האחרונים ניכרת תכונה רבה לקראת משחקי החורף האולימפיים העתידים להתקיים השנה בבייג׳ינג, גם בתחום הסייבר (ראו ״הסייבר״, 3.2.22). בתוך כך, בתחילת החודש חשפה חברת הגנת הסייבר Avast כי מערכות הקשורות ל-National Games of China, שהתקיימו בשנה שעברה, נפרצו בטרם החלו המשחקים ידי קבוצת תקיפה אנונימית, שחבריה דוברי סינית או בקיאים בשפה. התוקפים השיגו גישה למערכות באמצעות ניצול חולשה בשרת Web והניחו בהן כלים שאמורים היו לאפשר להם אחיזה קבועה ברשת. לדברי החוקרים, לא ברור באילו צעדים נקטו התוקפים בחלקים אחרים של הרשת, אך נראה שהחולשה שאפשרה להם להיכנס אל המערכות נסגרה לפני פתיחת המשחקים. עוד נמצא כי התוקפים ביצעו מספר ניסיונות להעלות קבצים לשרת שאיתרו, במטרה לאפיין את סוג הקבצים שניתן להניח בו, עד שלבסוף הצליחו להניח קובץ זדוני שהתחזה לקובץ תמונה לגיטימי. נוסף על כך, נצפו ניסיונות לשנות את קונפיגורציית השרת באופן שיאפשר להניח בו כלים נוספים, אך משאלה כשלו - התוקפים העלו והריצו שרת Tomcat שלם עם ההגדרות המתאימות, וחימשו אותו ב-Web shell סיני רב-עוצמה, שלרוב קשה מאוד לאיתור. לאחר קבלת הגישה למערכות, התוקפים ניסו לנוע ברשת על ידי ניצול חולשות ושימוש במתקפות Brute-force. עוד השתמשו התוקפים בסורק רשת וב-One-click, אשר בלחיצה על קישור זדוני מביא להפעלת קוד שכתוב בשפת Go, המאפשר לתוקפים לנוע רוחבית ברשת ולגשת לעמדות אחרות בה. התקיפה מדגישה את הצורך בעדכון מתמיד של שרתים, בהגדרתם באופן נכון ומאובטח, באצבע על הדופק בכל הנוגע לחולשות חדשות, בשימוש בסורקי חולשות ובהטמעת מוצרי הגנה נוספים, כדוגמת ניטור שוטף באמצעות EDR.
הנוזקה הטרויאנית Medusa מרחיבה את התפשטותה דרך רשת ההתקפות של Flubot
Medusa, אשר נצפתה לראשונה ביולי 2020, מסוגלת להשיג שליטה כמעט מלאה על מכשיר הקורבן, לרבות יכולות Keylogging, הזרמת וידאו ואודיו והרצה מרחוק של כמעט כל פקודה בכל אפליקציה המותקנת על המכשיר, באמצעות שירותי ה-Accessibility. מדוח חדש שפרסמו חוקרי ThreatFabric עולה כי הנוזקה מופצת כעת באמצעות אותה תשתית סמישינג (SMS Phishing) של נוזקת Flubot, שהינה תוכנת ריגול לאנדרואיד המתפשטת ויראלית מאז השנה שעברה. אי לכך, היקף ההפצה של Medusa עלה משמעותית ונפוץ לאזורים גיאוגרפיים נרחבים. בעת הפצת Flubot בסמישינג, הקורבן מתבקש להתקין ״אפליקציה חסרה״ (לרוב DHL ,Android Update או Flash Player) באמצעות URL זדוני המצורף להודעה. עם לחיצה על הקישור, התוכנה הזדונית מותקנת, מצרפת את המכשיר הנגוע לרשת בוט, פועלת לקבלת הרשאות ולגניבת מידע ואמצעי זיהוי בנקאיים, מוחקת סיסמאות המאוחסנות במכשיר ושולחת הודעות דיוג לאנשי הקשר השמורים במכשיר.
קמפיין להפצת סוס טרויאני משודרג לסמארטפונים תופס תאוצה בגרמניה, בצרפת, בטייוואן ובקוריאה
הקמפיין, המכונה Roaming Mantis, התגלה עוד בשנת 2018, אך מאז עבר כמה שינויים ששיפרו את אחיזת התוקפים במכשירי הקורבנות ומאפשרים להדליף מהם קבצי מדיה ותמונות. לדברי החוקרים, התוקפים מפיצים טרויאני בשם Wroba באמצעות סמישינג (SMS Phishing), ופעולותיהם התרחבו לאחר שהצליחו להגדיל את מהימנות הודעות הפישינג על ידי תירגומן בהתאם למיקומו הגיאוגרפי של הקורבן והתאמת השירותים המוצעים בהודעות, כביכול, לכאלה שבהם מרבים להשתמש במדינתו. במקרה של משתמשי אנדרואיד, עם לחיצת הקורבן על הקישור הזדוני הנוזקה מורדת למכשירו באופן אוטומטי ומתחילה בהליך של התקנה עצמית, בעוד שמשתמשי iOS מוכוונים לאתר פישינג בו הם מתבקשים להזין את פרטי ההתחברות שלהם ל-iCloud. על מנת למנוע את זיהוי הנוזקה, התוקפים שינו את שפת הקוד בו היא כתובה מ-Java ל-Kotlin.
צוות קונפידס ממליץ שלא ללחוץ בטלפון, במייל או בכל פלטפורמה אחרת על קישורים שמקורם אינו מוכר, ולעמוד על טבעו של הקישור באמצעות תקשורת ישירה עם האתר או האפליקציה הרלוונטיים.
ה-CISA מחייבת סוכנויות פדרליות להתמגן מפני חולשה ברמת חומרה גבוהה ב-Windows
החולשה (CVE-2022-21882, CVSS 7.8), המצויה בדרייבר win32k.sys, עלולה לאפשר לתוקף לקבל הרשאות גבוהות בעמדת הקורבן, והיא רלוונטית ל-Windows 10 ול-Windows 11, כמו גם ל-Windows Server 2019 ול-Windows Server 2022. החולשה נסגרה בעדכון החודשי של מיקרוסופט לחודש ינואר, וכעת הסוכנות לאבטחת סייבר ותשתיות מחייבת את הסוכנויות הפדרליות בארצות הברית לבצע את העדכונים הנדרשים עד ל-18 בפברואר 2022, על מנת להתמגן מפניה.
Mandiant ו-SentinelOne חוברות יחדיו למתן מענה לאירועי סייבר
מטרת שיתוף הפעולה הוא לאפשר לאנשי צוות התגובה הפרו-אקטיבי של Mandiant להשתמש ב-Singularity XDR של SentinelOne לחקירת אירועי סייבר ולהכלת מתקפות. בכך מצטרפת Mandiant ל-Kroll ול-MPMG, והופכת לחברת הסייבר העולמית השלישית ש-SentinelOne פועלת עם צוות התגובה שלה. בימים אלה מבצעת SentinelOne מעבר ממערכת ה-EDR בה השתמשה למערכת ה-XDR החדשה, שמטרתה לספק הגנת סייבר רחבה יותר ולהקל על ניהול סיכונים ואיומים.
השבוע בכופרה
LockBit פורצת לרשתות משרד התעשייה והטכנולוגיה הטורקי; ה-FBI מפרסם מסמך המוקדש לנוזקה
לאחר שבשבוע שעבר הדליפה קבוצת הכופרה קבצים השייכים למשרד המשפטים הצרפתי, השבוע דיווחה חברת DarkTracer באמצעות ציוץ בטוויטר על כך ש-LockBit פרסמה באתרה כי גם משרדי ממשלה טורקיים נפלו קורבן לפעילותה. בתוך כך, השבוע פרסמה לשכת החקירות הפדרלית של ארצות הברית (FBI) מסמך המוקדש כולו ל-LockBit, אשר כולל, בין היתר, IOCs והמלצות להתגוננות מפני הנוזקה. לדברי ה-FBI, מפעילי הנוזקה מחפשים אחר שיטות פריצה חדשות, והחלו להציע לעובדי ארגונים וחברות תגמול בתמורה למידע או לשיתוף פעולה שיעזור למפעילי LockBit לחדור לרשתות קורבנותיהם. עוד חושף דוח ה-FBI כי התוקפים משתמשים בכלים כגון Mimikatz להשגת הרשאות גבוהות יותר במחשבים שנפרצו, וכי בדומה לקבוצות תקיפה אחרות שמקורן ברוסיה או במדינות ברית המועצות לשעבר - במידה שמתגלות בהגדרות המחשב שפות המזוהות עם מדינות אלה או מדינות אחרות במזרח אירופה, התקיפה מתבטלת והתוכנה נסגרת מבלי להדביק את המחשב. על מנת למגר את המתקפה ולהימנע מנזקים משמעותיים, ה-FBI ממליץ לבצע סגמנטציה של רשתות ארגונים, לחקור פעילות חריגה ברשת, להגביל גישה למשתמשים בעלי הרשאות אדמין על פי שעות עבודה או אורך הפעילות, להשבית את השימוש בהרצת פקודות וסקריפטים ולהשתמש בגיבויים חיצוניים.
Botnet להשכרה: קבוצת התקיפה ALPHV מציגה את הדור הבא של ה-RaaS
בראיון שפורסם השבוע ב-Recorded Future חושף אחד מחברי קבוצת התקיפה ALPHV, הידועה גם כ-BlackCat, תכנית לבניית ״פלטפורמת נוזקה״ עבור שותפי הכנופייה ה״מתקדמים״ (כאלה שעברו ״רף״ של 1.5 מיליון דולר בתשלומי כופר), אשר תכלול צ׳אט עם נציג תמיכה מטעם ALPHV, שאלות ותשובות בנוגע לנוזקה, ״אזור אישי״ , בלוג ואזור מיוחד בו יוכלו השותפים לשכור כלים לשימוש נגד קורבנותיהם. לצד שירותי הנוזקה הקיימים ושירותי התקשרות טלפונית במקרה של אובדן קשר עם הקורבן או יצירת קשר עם מתחריו, ALPHV מתכננת להוסיף להיצע ללקוחותיה כלי DDos בדמותה של רשת בוטים להשכרה עבור ביצוע מתקפות מניעת שירות, חוות שרתי מידע וכרטיסים גרפיים שיסייעו לשותפים לפענח גיבובים (Hash) ישירות מהפלטפורמה לביצוע מתקפות Brute-force, וכן שירות אחסון קבצים ומידע המתבסס על שרתי אחסון ברשת האפלה ומסונכרן אוטומטית עם הנוזקה. לדברי נציג הקבוצה, על מנת להימנע מחסימות של שירותי העלאת קבצים לגיטימיים, השותפים יוכלו להעלות את הקבצים שגנבו ישירות לשרת האחסון של ALPHV. בעתיד, שירות הקבצים אף יכלול אפשרות לשלוח לקורבן דוח (Log) המפרט באופן מלא ואוטומטי איזה מידע הוצפן, נמחק ונגנב. עוד נמסר כי הקבוצה מציעה לקורבנות רשימה ממנה יוכלו לבחור ספקית שירותי שחזור מידע ומערכות, ב״הנחה״ של עד 40% (בהתבסס על תהליכי משא ומתן קודמים), שנחשפו כעת). בכך נראה שקבוצות תקיפה כמו ALPHV ו-LockBit מאמצות את מודל ה-RaaS שיוחס להן במדיה ומתחילות לפעול כספקיות שירות לכל דבר, החושבות על כל פרט ב״מוצר״ אותו הן מספקות.
שוויץ: מתקפת כופרה על חברת שירותי התעופה Swissport מביאה לעיכובים בטיסות
בהודעה שפרסמה החברה נמסר כי ב-3 בפברואר 22 טיסות שיצאו מנמל התעופה בציריך עוכבו בכ-20 דקות עקב מתקפת כופרה על שירותיה. לדברי Swissport, מרבית המערכות והיישומים הקריטיים שברשותה לא נפגעו, מאחר וצוותי האבטחה שלה זיהו את המתקפה בשלב מוקדם ופעלו באופן מידי לבלימתה. נכון לשעה זו, טרם נלקחה אחריות על האירוע ולא זוהתה באתרי ההדלפות דליפת נתונים ממערכות החברה. Swissport השווייצרית מספקת שירותי טיפול במטענים, אבטחה, אחזקה, ניקיון ואירוח בטרקלינים ל-310 שדות תעופה ב-50 מדינות. כחברה המטפלת בכ-282 מיליון נוסעים וב-4.8 מיליון טון של מטען מדי שנה, היא מהווה חוליה חיונית בשרשרת תעשיית התעופה העולמית.
בלגיה: התקפה רחבה על תשתיות נפט משבשות את תעבורת הדלק בין שני הנמלים הגדולים באירופה
לאחר שבשבועות האחרונים מסופי נפט מרכזיים בכמה מהנמלים הגדולים ביבשת נפלו קורבן למתקפות סייבר, בלגיה פתחה בחקירה מקיפה של ההתקפות, אשר בין היתר פגעו בנמל אנטוורפן, השני באירופה רק לנמל רוטרדם, ושיבשו את תעבורת הנפט בין בלגיה להולנד באמצעות פגיעה במערכות IT. לדברי המרכז להגנת סייבר ההולנדי, נראה שהמניע למתקפות הוא פלילי. בתוך כך, בשבוע שעבר דיווחו שתי חברות נפט גרמניות כי נפלו קורבן למתקפות סייבר (ראו ״הסייבר״, 3.2.22). מדיווחים ראשוניים של שירותי ההגנה הגרמניים עולה כי התוקפים השתמשו בכופרה BlackCat, הפועלת במתכונת של (Ransomware-as-a-Service (RaaS. לפי חברת אבטחת המידע Palo Alto, כלי זה הולך וצובר פופולריות בקרב האקרים, משום שהשימוש בו כרוך בעמלה נמוכה יחסית בהשוואה לכלים אחרים הנסחרים ברשת האפלה, שעבור השימוש בהם מבוקשות עמלות גבוהות יותר. המתקפות בגרמניה הובילו לשיבושים זמניים בתעבורת הנפט של החברות שנתקפו.
שרשרת אספקה: חברת Puma חווה דלף מידע רגיש של אלפי עובדים כתוצאה מהמתקפה על חברת Kronos
תוצאות המתקפה שאירעה בדצמבר האחרון על חברת Kronos (ראו ״הסייבר״, 16.12.21), המספקת פתרונות מבוססי ענן לניהול משאבי אנוש, ממשיכות להדהד. כעת, החברה מאשרת שבעקבות האירוע דלפו נתונים אודות 6,632 עובדים של יצרנית ציוד וביגוד הספורט הגרמנית, לרבות מספרי ביטוח לאומי. למיתון השפעות הדלף, Kronos הציעה לעובדים שנפגעו שימוש חינמי למשך שנתיים בשירות ה-IdentityWorks של Experian, הכולל ניטור פעילות בכרטיסי אשראי, שחזור זהות וביטוח מפני גניבת זהות.
סייבר בישראל
איגוד האינטרנט הישראלי: 57% מהישראלים חוששים משימוש במידע שלהם על ידי הרשויות ללא הסכמתם
בסקר שערך האיגוד בחודש ינואר באמצעות מכון רושינק, בו נדגמו 1,025 משתתפים, נבחנו תחושות הציבור ביחס לפגיעה בפרטיות המידע האישי בשימוש ברשת. כיום, כשהמידע של כל אזרחי ישראל מצוי במערכות ממוחשבות המתוחזקות על ידי גופים שונים, הסכנה לחשיפת מידע אישי הולכת וגדלה. בהתאם לכך, מן הסקר עלה כי 64% מהנשאלים חשים שאין להם שליטה על המידע האישי שלהם ברשת. לכל תוצאות הסקר לחצו כאן.
סייבר בעולם
ה-MITRE וה-NSA משיקות את מתווה שיטות ההגנה D3FEND לצמצום מרחב הפעולה של תוקפים
בפרויקט שמומן על ידי הסוכנות האמריקאית לביטחון לאומי (NSA) פותח ביחד עם ארגון ה-MITRE מתווה ההגנה החדש, המספק פתרונות לטכניקות הפגיעה והתקיפה המוצגות במתווה שיטות התקיפה ATT&CK. ה-D3FEND נועד לספק לארגונים ולחברות מודל שיאפשר להם להבין ולהעריך כיצד שיטות ומערכות הגנה שונות מפחיתות את יכולותיהם של תוקפים לפגוע בהם וממזערות את הנזק שעלול להיגרם. על ידי הצגת המורכבות של שיטות ההגנה והצבת דרישות ליישומן, המתווה יאפשר לבעלי מקצוע בעולם אבטחת המידע לתכנן הגנות מותאמות אישית למערכותיהם, ובכך למזעור מרחב הפעולה האפשרי של גורמי איום. את D3FEND ניתן למצוא באתר הייעודי שהקים ה-MITRE.
ה-NSA מסכמת את פעילותה ב-2021 בתחום אבטחת המידע
הסוכנות האמריקאית לביטחון לאומי פרסמה סקירה המדגישה כיצד המשיכה ב-2021 במניעת ומיגור איומים על המערכות הקריטיות ביותר בארצות הברית. הסקירה שופכת אור על רוחב משימת אבטחת הסייבר של ה-NSA, החל מאבטחת מערכות נשק וחלל עיקריות של משרד ההגנה, דרך שיתופי פעולה עם אנליסטים בתעשייה להגנה טובה יותר על הבסיס התעשייתי-ביטחוני של המדינה ועד לפרסום הנחיות אבטחת סייבר המסייעות למגני רשת לשמור על המערכות הרגישות ביותר בארצות הברית. במסמך הודגשו במיוחד הנושאים הבאים:
-
עבודת ה-NSA עם שותפיה לשם תגובה לאיומים ברמה הלאומית, כדוגמת מתקפות ה-SolarWinds והתקפות רבות של כופרות על תשתיות קריטיות במדינה.
-
הקמת מרכז ה-NSA Cybersecurity Collaboration - מרחב בלתי מסווג אשר במסגרתו מומחי אבטחת סייבר מה-NSA משתפים פעולה עם גורמים רלוונטיים לצמצום משטח התקיפה במרחב התעשייתי-ביטחוני ולאבטחת הקניין הרוחני הרגיש, המחקר הצבאי והכלכלה הטכנית החדשנית בארצות הברית.
-
גילוי וחשיפה של נקודות תורפה במרחב הסייבר, כגון נקודות תורפה קריטיות ב-Microsoft Exchange.
חולשה שהתגלתה במנגנון מעקב החבילות של DPD אפשרה השגת מידע מלא על משלוחים
חברת השילוח DBD מאפשרת לצפות באתרה בכל המידע אודות חבילות בהן היא מטפלת, באמצעות הזנת מספר החבילה והמיקוד של כתובת הנמען. ואולם, חולשה שהתגלתה על ידי חברת Pen Test Partners איפשרה למשתמש בעל מספר החבילה בלבד לדלות את פרטיה, באופן הבא: באמצעות שליחת בקשת API עם מספר החבילה לאתר של DBD' מחולצת מ-OpenStreetMap תמונה בה מסומנת כתובת הנמען, שאת המיקוד שלה ניתן למצוא בקלות לפי מזהים שונים באמצעות OSINT בסיסי. עם חשיפת המיקוד, ניתן לדלות דרך אתר החברה את כל פרטי החבילה באופן ״לגיטימי״, לרבות תאריך המסירה ושם המקבל. זאת ועוד, המידע עלול לשמש גורמים זדוניים לביצוע מתקפות רחבות יותר. חברת DBD, שנענתה במהירות לפנייתה של Pen Test Partner, הראתה עניין רב בסגירת החולשה ובווידוא כי אינה מנוצלת על ידי האקרים, וכאות תודה אף הציעה Bug Bounty לחברה המדווחת.
הכרזתה של Google על פיתוחה של מערכת חדשה לזיהוי איומים על מחשבים וירטואליים (VMTD) נועדה לתת מענה לבעיה משמעותית מולה ניצבים מפתחים וארגונים המשתמשים במכונות וירטואליות מבוססות ענן, והיא ניסיונותיהם הבלתי נלאים של גורמי איום לפרוץ לשרתים לשם התקנת כורי מטבעות קריפטוגרפיים, המנצלים את משאבי ה-GPU וה-CPU של מכונות וירטואליות ומפחיתים את ביצועיהם של יישומים לגיטימיים. על מנת לזהות איומים הפועלים על מכונות וירטואליות, לרוב ספקי ענן מתקינים סוכני תוכנה הפועלים בתוך השרת כתוכנת אבטחה. ואולם, סוכנים אלה עלולים לפגוע בביצועי המערכת, והם אף ניתנים לכיבוי על ידי תוקפים הפורצים לשרת. אי לכך, מהנדסי Google Cloud החליטו לנקוט בגישה ייחודית להתמודדות עם הבעיה, כזו שאינה דורשת סוכנים, ושינו את ה-Google Compute Engine Hypervisor - תוכנת האמולציה הבסיסית עליה מתבססת פעולתן של מכונות וירטואליות - כך שתכלול יכולות סריקה המנתחות את זיכרון ה-VM, כמו גם בקשות רשת עבור פעילות חשודה.
המתיחות במזרח אירופה: ארה״ב והבנק המרכזי האירופי קוראים לבנקים להיערך לאפשרות של תקיפת סייבר רוסית
תדרוך הבנקים והכנתם למתקפה במרחב נערכים על רקע המתיחות בין רוסיה לאוקראינה והחשש מפלישה רוסית שתסב נזק לאזור כולו, כאשר הבנק המרכזי האירופי (ECB), המפקח על המלווים הגדולים באירופה ומשתמש באירו כמטבע רשמי, מצוי בעצמו בכוננות לקראת מתקפה מסוג זה. ה-ECB, המהווה את הבנק המרכזי של 19 מדינות האיחוד האירופי, כבר פיתח בעבר תכנית היערכות לקראת אירועי סייבר עוינים, ואף ייסד מועצה כלל-אירופית לחוסן סייבר בקרב ארגונים פיננסיים. ההתראות הנוכחיות מתווספות להתראה שפרסם בסוף ינואר משרד השירותים הפיננסיים של מדינת ניו יורק (NYSDFS), שהזהיר מוסדות פיננסיים מפני מתקפות סייבר במקרה של הפעלת סנקציות אמריקאיות עקב פלישה אפשרית של רוסיה לאוקראינה. במקבל, המשרד מקדם הגנות סייבר בקרב חברות המספקות שירותים פיננסיים.
קנדה: שבע שנות מאסר נגזרו על שותף של קבוצת הכופרה NetWalker
סבסטיאן ואשון-דז׳רדן, אשר נעצר במסגרת מבצע אכיפה בינלאומי נגד הכנופייה, הורשע בפריצות סייבר לחברות, בהדבקת מערכותיהן בכופרה ובהדרכת אחרים לביצוע מתקפות מסוג זה. טרם הצטרפותו ל-NetWalker, ואשון-דז׳רדן הועסק על ידי ממשלת קנדה משך יותר מ-4 שנים כעובד בתחום ה-IT. במהלך החקירה נמצאו ברשותו יותר מ-20TB של מידע שגנב מקורבנותיו, וכ-30 מיליון דולר קנדי, שמקורם בפעילותו הפלילית בשירות קבוצת התקיפה. לצד עונש המאסר, בית המשפט גזר על ואשון-דז׳רדן להשיב כספים גנובים ל-17 מקורבנותיו.
קוריאה הצפונית ממשיכה לתקוף נכסי קריפטו כאמצעי למימון פיתוח יכולותיה הגרעיניות
השבוע דיווחה סוכנות הידיעות רויטרס, בהסתמכה על דוח של Chainalysis, כי בשנה החולפת ביצעה המדינה לפחות 7 תקיפות נגד פלטפורמות למסחר ושימוש במטבעות קריפטוגרפיים, מהם שלשלה לקופתה כ-400 מיליון דולר. סכום זה מצטרף לנתון לפיו מתחילת 2019 צברה קוריאה הצפונית באמצעות תקיפות סייבר יותר מ-2 מיליארד דולר, שיועדו באופן ישיר לתוכניתה לייצור נשק להשמדה המונית.
סייבר ופרטיות - רגולציה ותקינה
הבית הלבן מקים לראשונה מועצה לאומית לפיקוח על אירועי סייבר
המחלקה לביטחון המולדת של ארצות הברית (DHS) הכריזה על הקמת ה-(Cyber Safety Review Board (CSRB בהמשך לצו מנהלי מספר 14028 של הנשיא ג׳ו ביידן ממאי 2021, העוסק בשיפור רמת הגנת הסייבר של ארצות הברית. ה-CSRB מהווה יוזמה ציבורית-פרטית חסרת תקדים, שתפגיש בין גורמי ממשל ותעשייה לסקירת והערכת אירועי סייבר משמעותיים, כך שהממשלה, התעשייה וקהילת הגנת הסייבר תוכלנה להגן טוב יותר על הרשתות והתשתיות במדינה. משימתה הראשונה של ה-CSRB תתמקד בחולשות שהתגלו בספריית התוכנה Log4j בסוף 2021. לדברי אלחנדרו מיורקס, ראש ה-DHS, "בהתאם להוראת הנשיא, ה-DHS מקים את מועצת הפיקוח על אירועי סייבר כדי לאמוד ביסודיות אירועי עבר, לשאול את השאלות הקשות ולהניע שיפורים במגזר הפרטי והציבורי. אני מצפה לסקור את המלצות המועצה בנוגע לאופן בו נוכל להגן טוב יותר על קהילות ברחבי ארצנו, כחלק מעבודת ה-DHS לבניית עתיד דיגיטלי בטוח יותר".
האיחוד האירופי מוביל יוזמה לסטנדרטיזציה דיגיטלית
המועצה האירופית, שהינה הגוף המדיני העליון של האיחוד, פירסמה בתחילת חודש פברואר אסטרטגיה חדשה לקידום סטנדרטים דיגיטליים של האיחוד כאמת מידה גלובלית. בדברי ההסבר אודות האסטרטגיה מפורט כי תחרותיות האיחוד, הקידום הטכנולוגי שלו ויכולתו להפחית את תלותו במדינות אחרות - יהיו כפופים למידת ההצלחה של הסטנדרטיזציה של האיחוד האירופי ברמה הבינלאומית. הצלחה כזאת תדרוש מהתקינה האירופית להיות זריזה יותר, גמישה יותר וממוקדת יותר מזו של מדינות אחרות, ולהגיב לקצב חדשנות הולך וגובר בתחום הדיגיטיזציה. בקרוב תציע המועצה תיקון ועדכון לרגולציה הכלל-אירופית הקובעת את המתווה הרגולטורי של יצירת סטנדרטים במדינות האיחוד. נושאי התקינה שיקודמו בעדיפות גבוהה הם שיתוף ותיאום מידע בין מערכות ובטיחותם של מוליכים למחצה.
בהמשך לתקיפת הסייבר של Bitfinex מ-2016: ארה"ב עוצרת שני חשודים ותופסת 3.6 מיליארד דולר במטבעות קריפטוגרפיים
במבצע שנחשב ל״תפיסה הפיננסית״ הגדולה ביותר של משרד המשפטים האמריקאי עד כה, ב-8 בפברואר נעצרו תושבי מדינת ניו יורק איליה ליכטנשטיין ואשתו הת'ר מורגן, והוחרמו מטבעות בשווי מיליארדים, שלכאורה נגנבו במהלך הפריצה לבורסת הקריפטו ההונג-קונגית לפני כ-6 שנים. ליכטנשטיין ומורגן מואשמים בקשירת קשר להלבנת רווחים בסכום של 119,754 ביטקוין (4.5 מיליארד דולר דאז).
כנסים
דיסקליימר: המידע שמופיע בדו"ח זה מיועד להרחבת הידע של הקוראים והקוראות בלבד, ואינו מהווה תחליף לייעוץ רגולטורי, משפטי ו/או טכני בתחומים אליהם מתיחס הדו"ח. חברת קונפידס אינה אחראית לתוצאות של הסתמכות הקוראים על המידע שמוצג בדו"ח, ואינה נושאת באחריות כלשהי עבור אופן השימוש בו ו/או נזקים כתוצאה מכך. אזכור מקור מידע כלשהו אינו מהווה אישור למהימנותו; ואנו שומרים את הזכות לעדכן ולתקן את המידע שבדו"ח בכל זמן.
בכתיבת הדו״ח השתתפו: רחל ביניאשוילי, רם לוי, דבּ האוסן-כוריאל, שי שבתאי, אלמה תורג'מן, אלי זילברמן-כספי, שלומית רודין, אלינה מיטלמן, לאוניה חלדייב, דוד יחנין, יובל אוחנה, רוני עזורי, עמית מוזס וגיא פינקלשטיין.